昨天接到的任务,一个链接:https://mp.weixin.qq.com/s/ayfw8tWjBe3UOaDcAMrVgw
通过MD5检索相关信息,大概了解了GandCrab勒索病毒家族的概念,目前已经更新到V5.3 之前的时候有接触过V5.2的样本,双重RSA加密的思路实在无解,只有一个私钥落在了注册表,然后客户重装了电脑,直接懵逼。无解~
早上通读了2遍病毒分析,整体感觉就是看雪的帖子很大程度模仿了52早先发的帖子,但也确实是自己动手分析了一遍。所以自己思考这种分析复现的价值有多少。首先是病毒逻辑已经有导向图了,会出现什么是一个已知的,比如shellcode地址,文件释放数量和名称,很多信息在掌握之中。但另一方面可能就是误导信息的问题,我自己在做病毒分析的时候就有这个感觉,很多标注是不准确的,只是自我的理解,分析的对错与否感觉只能通过专杀工具实现什么的来确定,或许这个分析思路就是错的,对病毒的分析应该关注于它的行为整体流程,去获取它的特征,能够找到查杀的地方,我的思路,更多集中在分析病毒实现的所有细节,达到可以再现重写这个程序,整个的方向应该是有问题的。
5/7号更新
1·更新记录贴注意时间标注
2·保持信息浏览,他山之石可以攻玉
https://bbs.pediy.com/thread-251102.htm
这篇对脚本类病毒分析汇总文章的信息中显示,我所分析的这个GandCrab样本中提取的PE文件是由py编写生成的,这个在其他人的分析中都没有提及。
https://www.52pojie.cn/thread-875130-1-1.html
这篇对WannaCry分析贴中提到的,先进行字符串分析推断可能的加密算法,然后使用PEID等工具识别程序中的加密算法给分析未知勒索样本加密思路有提示,对PE区段表和资源段的分析,发现资源中的问题,然后准备后期是否进行dump操作。